1.账号设置

1.1.防止 webshell 越权使用

修改 httpd.conf:/etc/httpd/conf/httpd.conf 或编译路径下 /conf/httpd.conf

检查程序启动账号和用户组

  user apache或nobody

  group apache或nobody

  一般情况下默认用户符合安全要求

1.2.非超级用户权限禁止修改 apache 主目录

在 httpd.conf 文件中查找主目录位置:grep "ServerRoot" /etc/httpd/conf/httpd.conf

修改权限:

  chmod -R 700 /etc/httpd/

  chmod 644 /var/log/httpd/*.log

2.日志设置

2.1.修改日志级别,记录格式

修改 httpd.conf 文件

更改错误日志:

  LogLevel notice(更多的记录信息,但会占用大量空间)

  ErrorLog /logs/error_log(可根据磁盘规划更改)

更改访问日志

  LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Accept}i\"%{Referer}i\" \"%{User-Agent}i\"" combined

  CustomLog /logs/access_log combined(可根据磁盘规划更改)

3.禁止访问外部文件

防止访问网站目录以外的文件

打开 httpd.conf 检查关键语法

<Directory />

    AllowOverride none

    Require all denied

</Directory>

<Directory "/var/www/html">

    Options Indexes FollowSymLinks

    AllowOverride None

    Require all granted

</Directory>

4.禁止列出目录

防止使用 web 直接浏览目录内容

修改 httpd.conf 文件

去掉站点配置信息中的 Indexes 选项(Indexes:无法在当前目录下找到首页文件,就显示目录内容)

<Directory "/var/www/html">

    Options Indexes FollowSymLinks

    AllowOverride None

    Require all granted

</Directory>

5.错误页面重定向

防止通过默认错误回馈泄露敏感信息

修改 httpd.conf 文件

编辑错误页面配置:

ErrorDocument 400 /error400.html

ErrorDocument 401 /error401.html

ErrorDocument 403 /error403.html

ErrorDocument 404 /error404.html

ErrorDocument 405 /error405.html

ErrorDocument 500 /error500.html

错误页面在站点根目录下创建,也可以在子目录中

错误信息还可以使用 ”直接输出提示“

6.拒绝服务防范

合理设置会话时间,防 止拒绝服务

编辑 httpd.conf

修改内容:

  Timeout 10

  KeepAlive On

  KeepAliveTimeout 15

此处的连接间隔和 session 保持时间单位都是秒,一定要根据实际情况,分析后再设定

7.隐藏程序版本号

避免被针对漏洞

编辑 httpd.conf

修改信息:

  ServerSignature Off

  ServerTokens Prod

8.关闭 TRACE 功能

防止 trace 方法被恶意利用泄露信息

编辑 httpd.conf

修改信息:TraceEnable Off

9.禁用 CGI 功能

确保不适用 cgi 程序的情况下,关闭 cgi 功能(开启状态下,可运行脚本)

编辑 httpd.conf

注释信息如下

ScriptAlias /cgi-bin/ "/var/www/cgi-bin"

<Directory "/var/www/cgi-bin">

    AllowOverride Nonde

    Options None

    Require all granted

</Directory>

LoadModule cgi_module modules/mod_cgi.so

10.绑定监听地址

服务器多个 IP 时,绑定业务接口 IP

编辑 httpd.conf

添加监听

  Listen xx.xx.xx.xx:80

  如果页面为私有页面,还可以更改默认端口值

11.禁用非法 HTTP 方法

禁用 put、delete 等危险的 http 方法

编辑 httpd.conf

加入信息:

除了这些方法,以外都可以使用
<Location />

<LimitExcept GET POST CONNECT OPTIONS>

AllowOverride None

Require all granted

</LimitExcept>

</Location>

12.防止 apache 解析漏洞

防止非法文件绕过合法性检查

编辑 httpd.conf

添加配置信息

将文件后缀定死了
<FilesMatch \.php$>

SetHandler application/x-httpd-php

</FilesMatch>

<FilesMatch "\.phps$">

SetHandler application/x-httpd-php-source

</FilesMatch>

13.防止 sql 注入

禁止 PHP 页面对 sql 注入给予反馈

修改 php.ini 文件:/etc/php.ini

加入或修改信息:magic_quotes_gpc=On

14.限制请求消息长度

防止溢出漏洞

编辑 httpd.conf

添加信息:LimitRequestBody 102400

12、web 中间件加固-apache 加固的更多相关文章

  1. web中间件

    0x00 Web中间件概述 通俗来说,中间件是提供系统软件和应用软件之间连接的软件,以便于软件各部件之间的沟通.Apache的Tomcat.IBM公司的WebSphere.BEA公司的WebLogic ...

  2. Web中间件 - 常见漏洞总结

    *文章来源:https://blog.egsec.cn/archives/472 *本文将主要说明:Web中间件常见漏洞的产生原因以及修复方案 什么是Web中间件? 百度百科是这样解释的:中间件是介于 ...

  3. 柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布

    柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布 由于JAVA和Android的平台型,所以APP很容易被反编译,这对于我们开发者来说,是一个不想要 ...

  4. web中间件之nginx

    web中间件之nginx https://www.jianshu.com/p/d8bd75c0fb1b   对nginx正向代理和反向代理理解特别好的一篇文章. 一.nginx nginx缺点,负载均 ...

  5. 软件性能测试分析与调优实践之路-Web中间件的性能分析与调优总结

    本文主要阐述软件性能测试中的一些调优思想和技术,节选自作者新书<软件性能测试分析与调优实践之路>部分章节归纳. 在国内互联网公司中,Web中间件用的最多的就是Apache和Nginx这两款 ...

  6. Java Web中间件

    目录 中间件 常见的web中间件有哪些 Tomcat Weblogic Jboss Jetty Webshere Glasshfish 中间件 我们经常会看到中间件,但是,一直好奇的是,中间件到底是什 ...

  7. 常见web中间件漏洞(四)Tomcat漏洞

    这部分好久没写了,继续更新web中间件漏洞思路整理(不复现) ,争取...整理完 前几篇指路链接: nginx: https://www.cnblogs.com/lcxblogs/p/13596239 ...

  8. web服务器【apache/nginx] 关闭目录的浏览权限

    web服务器[apache/nginx] 关闭目录的浏览权限 我的配置(将Options 中的Indexes干掉): <VirtualHost *:80> ServerAdmin webm ...

  9. android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测

    android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测https://dev.bangcle.com/ 业内专业的应用加固服务供应商 帮助数十万APP抵御破解风险,早 ...

  10. web服务器、Web中间件和Web容器的区别

    web服务器>web中间件>web容器 Tomcat(servlet容器)  是  Tomcat中间件  也是  Tomcat服务器 看了谢公子的csdn文章,让我彻底分清了这三者的区别. ...

随机推荐

  1. 工具推荐-personal kanban

    工具推荐 -- personal kanban 看板工具 在项目中接触到项目管理工具pingcode中含有看板工具 但是实际使用时一般一周才看一下项目进度 这个看板的参与度实际上很低 为了将日常的工作 ...

  2. KingbaseES V8R6 运维案例 -- sys_filenode.map故障案例

    ​ 案例说明: 数据库下的sys_filenode.map文件被破坏,导致此数据库无法连接访问. Nail表(内核系统表)Relfilenode的存储机制: 经过研究发现,在数据目录里存在着pg_fi ...

  3. KingbaseES date 数据类型的两种格式

    关于date 数据类型,Oracle 与 PostgreSQL 格式是不同的,Oracle 是 日期 + 时间的类型,而PG 则只有日期.KingbaseES Oracle 模式则同时实现了二者类型, ...

  4. MySQL数据库维护和改善性能

    备份数据   由于MySQL数据库是基于磁盘的文件,普通的备份系统和例程就能备份MySQL的数据.但是,由于这些文件总是处于打开和使用状态,普通的文件副本备份不一定总是有效.下面列出这个问题的可能解决 ...

  5. #K-D Tree#BZOJ 4303 数列

    题目传送门 分析 将 \((i,p_i)\) 视为一个点,那么相当于对横坐标或纵坐标对应的点区间乘.区间加或者区间求和, 把这些点丢到 K-D Tree 上,维护最小/大横/纵坐标,如果当前区间点在范 ...

  6. #根号分治,树形dp#CF1039D You Are Given a Tree

    题目 给定一棵树,对于 \(k\in [1,n]\) 问最多可以分成多少段长度为 \(k\) 的不交路径 分析 首先考虑对于单个 \(k\) 怎么做. 设 \(dp[x]\) 表示点 \(x\) 往下 ...

  7. OpenHarmony创新赛|赋能直播第五期

     OpenHarmony创新赛赋能直播课程即将再次与大家见面!本期基于之前的青蛙影院的UI界面设计的课程,介绍综合性APP的需求介绍和技术栈整合等内容.此外,课程同步赋能OpenHarmony创新赛, ...

  8. SQL 通配符:用于模糊搜索和匹配的 SQL 关键技巧

    SQL通配符字符 通配符字符用于替代字符串中的一个或多个字符.通配符字符与LIKE运算符一起使用.LIKE运算符用于在WHERE子句中搜索列中的指定模式. 示例 返回所有以字母 'a' 开头的客户: ...

  9. Python 条件和 if 语句

    Python支持来自数学的通常逻辑条件: 等于:a == b 不等于:a != b 小于:a < b 小于或等于:a <= b 大于:a > b 大于或等于:a >= b 这些 ...

  10. “最新趋势:R语言lavaan结构方程模型(SEM)的实践应用与技巧”

    结构方程模型(Sructural Equation Modeling,SEM)是分析系统内变量间的相互关系的利器,可通过图形化方式清晰展示系统中多变量因果关系网,具有强大的数据分析功能和广泛的适用性, ...